Bài 9: Một số ứng dụng an ninh hệ thống BÀI 9: MỘT SỐ ỨNG DỤNG VỀ AN NINH MẠNG Nội dung     Mục tiêu     Tìm hiểu giao thức quản trị an ninh mạng SNMP Khai thác tiện ích cộng đồng SNPMv1 SNMP3 Tìm hiểu lợi ích việc thiết lập tường lửa Xem xét số chuẩn chứng nhận thủ tục xác thực IT201_Bai 9_v1.0011103219 Khái niệm giao thức quản trị an ninh mạng SNMP Tiện ích cộng đồng SNMPv1 SNMP3 Bức tường lửa Chuẩn xác thực Thời lượng học  tiết 159 Bài 9: Một số ứng dụng an ninh hệ thống TÌNH HUỐNG DẪN NHẬP Tình  Có cơng cụ thiết bị hỗ trợ việc quản lý an ninh mạng?  Tôi muốn ngăn chặn tin tặc công vào mạng cục cơng ty với chi phí hợp lý, liệu tơi thực khơng?  Chuẩn thủ tục xác thực có cịn lỗ hổng khơng? Câu hỏi  Làm thu thập xử lý thông tin an ninh mạng khu vực?  Sử dụng tường lửa ngăn chặn công khả đến đâu?  Chuẩn giấy chứng nhận gồm thơng tin bước thủ tục xác thực gì? 160 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống 9.1 Quản trị an ninh mạng 9.1.1 Khái niệm SNMP Hệ thống quản trị mạng tập hợp cơng cụ để theo dõi kiểm sốt tích hợp theo nghĩa sau:  Giao diện thao tác với tập lệnh đủ mạnh thân thiện để thực hầu hết nhiệm vụ quản trị mạng  Với số tối thiểu các thiết bị riêng rẽ mà hầu hết phần cứng phần mềm địi hỏi cho quản trị mạng tích hợp thành thiết bị có người dùng Mơ hình quản trị mạng sử dụng cho Giao thức quản trị mạng đơn giản SNMP bao gồm thành phần sau:  Trạm quản trị  Tác tử quản trị  Cơ sở thông tin quản trị (MIB)  Giao thức quản trị mạng Trong Trạm quản trị thường thiết bị đứng tách rời có khả cài đặt hệ thống chia sẻ Mặt khác Trạm quản trị phục vụ giao diện cho người quản trị mạng kết nối vào hệ thống quản trị mạng Trạm có tối thiểu: Tập ứng dụng quản trị để phân tích liệu, khắc phục lỗi,…  Giao diện để người quản trị theo dõi kiểm sốt mạng  Có khả chuyển u cầu mạng thành việc theo dõi kiểm soát thực tế thành phần xa mạng  Cơ sở liệu thông tin lấy từ MIB thực thể quản trị mạng Thành phần khác quản trị tác tử Các thiết bị như: máy chủ, bridges, routers hubs trang bị SNMP, cho chúng điều khiển từ trạm quản trị Các tác tử quản trị đáp ứng yêu cầu lấy thông tin truyền hành động từ trạm Để quản trị nguồn lực mạng, nguồn lực thể đối tượng Mỗi đối tượng biến liệu biểu diễn khía cạnh tác tử quản trị Tập hợp đối tượng tham chiếu sở thông tin quản trị (MIB) Các trạm tác tử quản trị kết nối thông qua giao thức quản trị mạng Giao thức sử dụng để quản trị mạng TCP/IP giao thức quản trị mạng SNMP Nó bao gồm khả sau:  Get: cho phép trạm quản trị nhận giá trị đối tượng tác tử  Set: cho phép trạm quản trị đặt giá trị đối tượng tác tử  Notify: cho phép tác tử nhắc nhở trạm quản trị kiện quan trọng Kiến trúc quản trị mạng Trên hình vẽ sau: từ trạm quản trị ba kiểu thông báo gửi: GetRequest, GetNextRequest SetRequest Ba thông báo trả lời tác tử dạng thơng báo GetResponse Vì SNMP dựa UDP giao thức không kết nối nên SNMP không kết nối Mỗi trao đổi giao dịch riêng rẽ trạm tác tử quản trị IT201_Bai 9_v1.0011103219 161 Bài 9: Một số ứng dụng an ninh hệ thống Proxies Trong SNMP tác tử trạm quản trị cần hỗ trợ UDP IP Điều hạn chế quản trị trực tiếp đến thiết bị loại trừ số bridges modems mà không hỗ trợ phần giao thức TCP/IP Và số hệ thống nhỏ cài đặt TCP/IP để hỗ trợ ứng dụng chúng Để hỗ trợ thiết bị không cài đặt SNMP, khái niệm proxy phát triển Trong sơ đồ sau tác tử SNMP hoạt động proxy đại diện cho nhiều thiết bị Kiểu kiến trúc giao thức thường gặp Trạm quản trị gửi yêu cầu liên quan đến thiết bị cho tác tử proxy Tác tử proxy chuyển yêu cầu thành giao thức quản trị dùng thiết bị Tương tự, cảnh báo kiện từ thiết bị truyền proxy, proxy gửi đến trạm quản trị dạng thông báo chuẩn quản trị mạng Quản trị mạng phân tán Trong sơ đồ quản trị mạng tập trung truyền thống, máy chủ đóng vai trị trạm quản trị mạng có hai trạm khác đóng vai trị dự phịng Phần lại 162 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống thiết bị mạng chứa phần mềm tác tử MIB để theo dõi kiểm soát từ trạm quản trị Khi mạng lớn dần lên, sơ đồ tập trung khơng cịn phù hợp, thơng tin trao đổi qua lại nhiều Trong sơ đồ phân tán có trạm quản trị nhiều mức khác nhau, thường nói đến máy chủ quản trị Mỗi máy quản trị trực tiếp số tác tử Máy chủ trung gian đóng vai trị quản trị việc theo dõi kiểm soát tác tử trách nhiệm Nó đóng vai trị tác tử cung cấp thông tin tiếp nhận điều khiển từ máy chủ quản trị mức cao 9.1.2 Tiện ích cộng đồng (khu vực) SNMPv1 Mỗi tác tử kiểm sốt MIB địa phương kiểm soát việc sử dụng MIB số quản trị khác Có ba khía cạnh khác việc kiểm sốt đó:  Dịch vụ xác thực: Tác tử mong muốn hạn chế truy cập đến MIB cho số quản trị có chủ quyền  Chính sách truy cập: Tác tử muốn cung cấp số quyền khác cho số quản trị khác  Dịch vụ Proxy: Tác tử muốn hoạt động proxy cho số tác tử khác Điều kéo theo việc cài đặt dịch vụ xác thực hoặc/và sách truy cập cho tác tử khác hệ thống proxy Có hai yếu tố hỗ trợ kiểm sốt truy cập:  SNMP MIB view: tập đối tượng MIB, chúng khác cho cộng đồng khác  SNMP access mode: có hai lựa chọn READ-ONLY READ-WRITE Kiểu truy cập xác định cho cộng đồng IT201_Bai 9_v1.0011103219 163 Bài 9: Một số ứng dụng an ninh hệ thống Chính sách truy cập bao gồm tên cộng đồng SNMP hồ sơ cộng đồng SNMP Cộng đồng SNMP có hai thành phần tác tử SNMP tập quản trị SNMP Còn hồ sơ cộng đồng SNMP bao gồm tập MIB xác định tầm nhìn tác tử cộng thêm với kiểu truy cập đến đối tượng 9.1.3 SNMPv3 SNMPv3 định nghĩa khả an ninh kết hợp với SNMPv2 SNMPv1 Sơ đồ sau mô tả định dạng đơn vị liệu giao thức Xuống tầng xử lý đơn vị liệu thêm phần đầu tương ứng Thông tin trao đổi trạm quản trị tác tử thể dạng thơng báo SNMP SNMPv3 đặc tả mơ hình an ninh người sử dụng USM (User security model) phần đầu V3MH Như việc sử dụng SNMPv3 cho phép đặc tả yêu cầu an ninh người sử dụng USM vào phần tiêu đề bổ sung đơn vị liệu giao thức Phần thực thi xử lý đơn vị liệu kiểm soát quyền truy cập dựa mơ hình an ninh người sử dụng USM Kiến trúc SNMP Kiến trúc SNMP bao gồm họ thực thể SNMP tương tác phân tán Mỗi thực thể cài đặt phần khả SNMP tác động nút tác tử, nút quản trị kết hợp hai Mỗi thực thể bao gồm tập modules mà tương tác với tạo nên dịch vụ Thực thể SNMP Mỗi thực thể SNMP chứa chế SNMP Một chế SNMP cài đặt chức gửi, nhận, xác thực, mã/giải mã thông điệp kiểm soát truy cập đến đối tượng quản trị Các chức cung cấp dịch vụ cho hay nhiều ứng dụng mà cấu hình với chế SNMP tạo thành thực thể SNMP Một tập modules đòi hỏi cho tác tử SNMP, tập khác yêu cầu cho quản trị SNMP Sau ta xét thực thể SNMP cho quản trị SNMP Hình vẽ sau 164 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống sơ đồ khối quản trị SNMP truyền thống Nó tương tác với tác tử SNMP cách xuất lệnh get, set việc nhận thông điệp tương tác với quản trị khác cách xuất InformRequest PDU Command Generator Applications theo dõi thao tác liệu quản trị tác tử xa, chúng xử dụng đơn vị liệu PDU bao gồm lệnh Get, GetNext, GetBulk Set Notification Originator Applications khởi tạo thông điệp không đồng bộ; Đơn vị liệu giao thức PDU InformRequest sử dụng cho ứng dụng này; Notification Receiver Applications xử lý thông điệp không đồng gửi đến Cơ chế SNMP thực hai chức chính:  Nó nhận đơn vị liệu giao thức PDU từ ứng dụng SNMP, thực xử lý thông tin cần thiết, bao gồm chèn mã xác thực mã hóa, sau đóng gói PDU thành thơng điệp để truyền  Nó nhận thơng điệp SNMP gửi đến từ tầng vận chuyển, thực xử lý cần thiết, bao gồm xác thực giải mã, sau mở gói PDU từ thơng điệp truyền cho ứng dụng SNMP tương ứng Cơ chế SNMP cho tác tử có thành phần quản trị cộng thêm phân hệ kiểm soát truy cập Cơ chế SNMP cho tác tử chứa ba kiểu ứng dụng Command Responder Application cung cấp truy cập đến liệu quản trị Notification Originator Applications khởi tạo thông điệp không đồng Proxy Forwarder Application chuyển tiếp thông điệp thực thể Phân hệ quản lý quyền truy cập cung cấp dịch vụ xác thực quyền truy cập cho MIB để đọc đặt giá trị cho đối tượng quản trị IT201_Bai 9_v1.0011103219 165 Bài 9: Một số ứng dụng an ninh hệ thống Ứng dụng SNMPv3 Cụ thể bước ứng dụng SNMPv3 xảy mô tả sơ đồ sau: Command Generator application sử dụng hai module Dispatcher SendPdu ResponsePdu SendPdu cung cấp cho Dispatcher thông tin đích đến, tham số an ninh thân PDU gửi Dispatcher sử dụng mơ hình xử lý thơng điệp mơ hình an ninh để chuẩn bị gói tin Dispatcher truyền gói tin cho lớp vận chuyển (UDP) Command responder application sử dụng bốn module Dispatcher registerContextEngineID, unregisterContextEngineID, processPdu, returnResponsePdu module phân hệ kiểm soát truy cập isAccessAllowed Command responder application kích hoạt command responder gắn với chế SNMP để xử lý kiểu PDU tương ứng Một command responder đăng ký gói tin không đồng nhận chứa liên kết đăng ký Sau command responder cởi gắn kết khỏi chế SNMP unregisterContextEngineID Dispatcher sử dụng processPdu phân phối PDU yêu cầu cho ứng dụng trả lời tương ứng Lệnh command responder thực bước sau:  Kiểm tra nội dung yêu cầu PDU  Xác định quyền truy cập có phép không cho thao tác quản trị PDU  Tham số mơ hình an ninh rõ phân hệ quyền truy cập sử dụng  Nếu quyền truy cập phép, lệnh command responder thực thao tác quản trị chuẩn bị PDU trả lời  Gọi Dispatcher với returnResponsePdu để gửi PDU trả lời 9.1.4 Mơ hình xử lý thơng điệp mơ hình an ninh người sử dụng Mơ hình xử lý thơng điệp Mơ hình nhận PDU từ Dipatcher, đóng gói thành thơng điệp, sử dụng mơ hình an ninh người sử dụng USM cách chèn thêm tham số tiêu đề thông điệp 166 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống Phần sau mô tả định dạng thông điệp SNMPv3 với mô hình an ninh người sử dụng USM (User Security Model) Năm trường sinh mơ hình xử lý thông điệp cho thông điệp gửi chúng xử lý cho thông điệp gửi đến Sáu trường cho biết tham số sử dụng USM Cuối cùng, đơn vị liệu giao thức PDU với contextEngineID contextName tạo thành gói PDU dùng để xử lý Mơ hình an ninh người sử dụng USM USM cung cấp dịch vụ xác thực bảo mật cho SNMP Nó thiết kế để chống mối đe dọa sau:  Sửa đổi thông tin: thực thể không phép thực thao tác quản trị để sửa thông tin đối tượng  Mạo danh: thao tác quản trị không phép thực thể tìm cách thực  Sửa dịng truyền: thay đổi thứ tự, làm trì hỗn gói tin  Bảo mật: theo dõi thay đổi quản trị tác tử USM không thiết kế để chống đe dọa sau:  Từ chối dịch vụ: kẻ cơng ngăn việc trao đổi quản trị tác tử  Phân tích đường truyền: kẻ cơng quan sát mẫu tin truyền quản trị tác tử Các hàm mã hóa địi hỏi có hai khóa: khóa riêng (privKey) khóa xác thực (authKey) Các cặp khóa riêng biệt bảo trì cho người sử dụng sau:  Người sử dụng địa phương: người chế SNMP có quyền thực thao tác quản trị  Người sử dụng xa: người chế SNMP xa có trao đổi thơng tin USM sử dụng giao thức xác thực sau: HMAC-MD5-96, HMAC-SHA-96, đồng thời sử dụng chế độ mã khối dây chuyền CBC chuẩn mã liệu DES IT201_Bai 9_v1.0011103219 167 Bài 9: Một số ứng dụng an ninh hệ thống Trong gói tin truyền, hai thực thể người truyền người nhận định chế SNMP có chủ quyền tuân thủ quy tắc sau:  Khi thơng điệp SNMP chờ đợi trả lời, người nhận thơng điệp phải có chủ quyền  Khi thơng điệp SNMP khơng chờ đợi trả lời, người gửi thơng điệp phải có chủ quyền Q trình địa phương hóa khóa Bản băm mật người sử dụng kết hợp với băm định danh máy xa để tạo khóa địa phương Như khóa phụ thuộc vào mật người sử dụng nhập định danh máy xa Mơ hình kiểm sốt quyền truy cập dựa tầm nhìn VACM (View-based access control model) VACM có hai đặc tính quan trọng:  VACM xác định việc truy cập đến đối tượng quản trị MIB địa phương người sử dụng từ xa có phép không  VACM sử dụng MIB để: o Xác định sách truy cập cho tác tử o Làm cho sử dụng để cấu hình từ xa VACM làm cho chế SNMP cấu hình để ép buộc tập quyền truy cập, gọi sách truy cập Việc xác định quyền truy cập phụ thuộc vào yếu tố sau:  Người sử dụng đưa yêu cầu truy cập Sử dụng VACM tác tử cho phép người sử dụng có quyền khác Chẳng hạn người quản trị mạng diện rộng có chủ quyền lớn thay đổi đề mục MIB địa phương, người quản trị mức trung gian theo dõi, có quyền đọc hạn chế truy cập đến MIB địa phương Quyền truy cập phân theo nhóm  168 Mức độ an ninh, theo yêu cầu gửi thông điệp SNMP Thông thường, tác tử yêu cầu xác thực quyền viết IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống Bức tường lửa Là điểm cổ chai để kiểm sốt theo dõi thông tin vào mạng cục Các mạng liên kết với độ tin cậy khác nhau, buộc có hạn chế dịch vụ mạng Chẳng hạn, vận chuyển phải có giấy phép Kiểm tra kiểm sốt truy cập, cài đặt cảnh báo hành vi bất thường Cung cấp bảng chuyển đổi địa mạng NAT sử dụng để theo dõi giám sát Bức tường lửa sử dụng để cài đặt mạng riêng ảo (VPN) dùng chế an tồn IPSec Hạn chế tường lửa Khơng bảo vệ cơng vịng qua nó, chẳng hạn mạng lút dùng thiết bị modems kết nối bên ngồi Nó ngăn cản tổ chức tin cậy dịch vụ tin cậy Không bảo vệ chống mối đe dọa từ bên trong, chẳng hạn nhân viên bực tức thông đồng với kẻ xấu Không thể bảo vệ chống việc truyền chương trình file nhiễm virus, dạng file hệ điều hành có phạm vi rộng 9.2.2 Bức tường lửa lọc gói Là thành phần tường lửa nhanh đơn giản nhất, sở hệ thống tường lửa Nó kiểm tra gói IP (khơng có ngữ cảnh) cho phép hay từ chối tùy theo quy tắc xác định Suy có hạn chế truy cập đến dịch vụ cổng Các đường lối mặc định có thể:  Default = discard: thứ khơng cho phép tức cấm  Default = forward: không cấm tức cho phép Bảng sau cho số quy tắc lọc gói Trong tập hợp, quy tắc áp dụng từ xuống Dấu * trường dấu hiệu khơng hạn chế cả, cho phép thứ Chúng ta giả thiết Default = discard sách mặc định bắt buộc A Cho phép nhận thư điện tử (cổng 25 dành cho SMTP về), đến máy chủ OUR-GW cổng 25 Tuy nhiên mail từ máy chủ ngồi SPIGOT bị cấm, máy chủ có tiền sử khơng tốt B Ở khẳng định tường minh sách mặc định Default Tập quy tắc bổ sung thêm quy tắc vào cuối danh sách C Tập quy tắc mô tả máy chủ bên gửi email bên ngồi Gói TCP với cổng đích 25 định hướng đến máy chủ SMTP máy đích 170 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống Vấn đề đặt máy chủ bên ngồi cấu hình để có ứng dụng khác kết nối với cổng 25 Khi kẻ cơng giành quyền truy cập vào máy bên cách gửi gói tin với TCP cổng gốc 25 D Tập quy tắc đạt kết mong muốn mà mục C chưa đạt Các quy tắc có ưu kết nối TCP Khi kết nối thiết lập, cờ ACK đoạn TCP thiết lập cho đoạn phúc đáp gửi máy bên Tập quy tắc khẳng định cho phép gói IP mà địa IP gốc máy chủ bên số cổng TCP đích 25 Nó cho phép gói đến với cổng gốc 25 mà có cờ ACK đoạn TCP E Tập quy tắc cách kiểm soát kết nối FTP Với FTP, hai kết nối TCP sử dụng: kết nối điều khiển để khởi tạo việc truyền file kết nối liệu để truyền file thực tế Kết nối liệu sử dụng cổng khác nhau, mà gán động để truyền Đa số máy chủ đa số đích công hoạt động cổng số thấp Đa số gọi hướng tới dùng cổng số cao, thông thường 1023 Như tập quy tắc cho phép:  Các gói có gốc từ bên  Các gói trả lời đến kết nối khởi tạo từ máy bên  Các gói đến tới cổng số cao máy bên Quy tắc E khó làm việc với ứng dụng mức lọc gói Các yếu điểm tường lửa lọc gói    IT201_Bai 9_v1.0011103219 Tường lửa lọc gói khơng kiểm tra liệu lớp trên, nên không ngăn chặn công khai thác lỗ hổng ứng dụng chuyên dụng; Đa số lọc gói khơng hỗ trợ sơ đồ xác thực người dùng nâng cao thiếu thông tin liệu mức cao; Dựa biến để định quyền truy cập, nên tường lửa lọc gói dễ nhạy cảm tạo lỗ hổng an ninh cấu hình khơng 171 Bài 9: Một số ứng dụng an ninh hệ thống Tấn công lọc gói biện pháp phịng chống    9.2.3 Địa IP lừa đảo: giả địa nguồn làm cho tin tưởng, bổ sung lọc lên mạch chuyển để ngăn chặn Tấn công hướng truyền gốc: kẻ công đặt hướng truyền khác với mặc định, hy vọng vịng qua kiểm sốt an ninh Biện pháp loại bỏ gói tin sử dụng lựa chọn Tấn công đoạn tin nhỏ Chia thông tin tiêu đề thành số đoạn nhỏ để lách số quy tắc dựa thông tin tiêu đề Biện pháp bỏ qua đoạn tin xếp lại chúng trước kiểm tra Bức tường lửa xem xét trạng thái Lọc gói truyền thống không kiểm tra ngữ cảnh tầng cao hơn, tức tường lửa lọc gói đơn giản khó hạn chế gói đến khơng mong muốn, tạo lỗ hổng khai thác người sử dụng khơng có quyền Chẳng hạn, giao thức truyền mail SMTP cho phép truyền email từ hệ thống máy trạm đến hệ thống máy chủ Máy chủ cất chúng hộp thư tương ứng người sử dụng SMTP thao tác cách thiết lập kết nối TCP người gửi máy chủ xa với cổng TCP 25; Số cổng TCP cho SMTP máy trạm nằm 1024 16383 Các số nhỏ 1024 giành cho số ứng dụng riêng biệt Các số từ 1024 đến 16383 sinh động có ý nghĩa tạm thời cho kết nối TCP Lọc gói cần phải cho phép gói đến từ cổng có số cao cho việc truyền tin dựa TCP xảy Đây lỗ hổng mà người sử dụng khơng có chủ quyền khai thác Bức tường lửa xem xét trạng thái hướng đến yêu cầu khắc phục nhược điểm Chúng kiểm tra gói IP ngữ cảnh: giữ vết theo dõi với kỳ Client-Server, kiểm tra gói có thuộc vào phiên làm việc không cách tạo thư mục cho kết nối bên ngồi Suy có khả tốt phát gói giả tách khỏi ngữ cảnh cho phép đến cổng có số cao gói có hồ sơ gắn kết với thực thể thư mục 9.2.4 Bức tường lửa – cổng giao tiếp mức ứng dụng (hoặc proxy) Cổng giao tiếp mức ứng dụng hay gọi máy chủ proxy hoạt động tiếp nối vận chuyển mức ứng dụng Người sử dụng truy cập đầy đủ đến giao thức kết nối:  Người sử dụng yêu cầu dịch vụ từ proxy  Proxy kiểm tra yêu cầu có hợp lệ khơng  Sau xử lý yêu cầu trả lời cho người sử dụng  Có thể vào/theo dõi vận chuyển tầng ứng dụng Cần proxies khác cho dịch vụ:  Một số dịch vụ hỗ trợ cách tự nhiên proxy  Những loại khác cần giải số vấn đề Cổng giao tiếp mức ứng dụng hướng tới an tồn lọc gói, cho phép cấm mức TCP IP Hơn dễ dàng thực việc đăng nhập kiểm tra gói tin đến mức ứng dụng 172 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống 9.2.5 Bức tường lửa - cổng giao tiếp mức mạch vịng Đây hệ thống độc lập chức chuyên dụng cổng giao tiếp mức ứng dụng Ở khơng có kết nối TCP đầu cuối, mà cổng thiết lập chuyển tiếp hai kết nối TCP: kết nối với người sử dụng bên kết nối với người sử dụng bên ngồi An ninh đạt cách hạn chế kết nối Mỗi lần tạo chuyển tiếp thông thường không kiểm tra nội dung Nói chung người quản trị tin cậy người sử dụng bên cách cho phép kết nối ngồi Gói SOCKS sử dụng rộng rãi cho mục đích này, định nghĩa giao thức thiết kế cung cấp khung cho ứng dụng Client/Server để sử dụng dịch vụ tường lửa Gói SOCKS định nghĩa RFC 1928, bao gồm thành phần sau:  Máy chủ SOCKS chạy tường lửa Unix  Thư viện SOCKS máy trạm chạy máy chủ bên tường lửa 9.2.6 Máy chủ Bastion Máy chủ Bastion hệ thống người quản trị tường lửa, điểm quan trọng an ninh mạng Thông thường tảng cho cổng giao tiếp mức ứng dụng hay mạch vịng Đó hệ thống máy chủ an toàn cao  Chạy phiên an toàn hệ điều hành, an tồn bền vững, nên hệ điều hành nặng nề  Chỉ cung cấp dịch vụ bao gồm ứng dụng proxy Telnet, hệ thống tên miền DNS, FTP, SMTP xác thực người sử dụng IT201_Bai 9_v1.0011103219 173 Bài 9: Một số ứng dụng an ninh hệ thống  Máy chủ Bastion yêu cầu xác thực bổ sung trước người sử dụng quyền truy cập dịch vụ proxy  Máy chủ Bastion có tiềm thể yếu tố máy chủ, dịch vụ chính, bổ sung xác thực, proxies nhỏ, an tồn, độc lập, khơng đặc quyền  Có thể hỗ trợ hai hay nhiều kết nối mạng tin cậy để ép buộc sách tách bạch tin cậy kết nối mạng Cấu hình tường lửa (Firewall Configurations) Trong tường lửa máy chủ (Screened Host Firewall) cho gói tin đến từ máy chủ Bastion (hình a)  Ở tường lửa gồm hệ thống: o Router lọc gói - cho gói tin đến từ máy chủ Bastion o Máy chủ bastion – thực chức xác thực proxy  Cấu hình cung cấp an ninh tốt hơn, cài đặt lọc mức lọc gói mức ứng dụng Trong tường lửa máy chủ kép (Screened Host Firewall –Dual home): tách bạch hai hệ thống bên bên ngồi (hình b) 174  Máy chủ bastion máy chủ thơng tin liên hệ trực tiếp bên ngồi;  Nhưng mạng cục khơng liên hệ trực tiếp với bên ngồi, mà thơng qua máy chủ bastion IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống Trong tường lửa mạng (Screened Subnet Firewall) có hai định tuyến lọc gói sử dụng: máy chủ Bastion Internet máy chủ Bastion mạng cục (hình c)  Ở có mức bảo vệ, hai routers máy chủ bastion: o Bên ngồi khơng nhìn thấy mạng bên o Tương tự bên không định tuyến trực tiếp bên ngồi  Máy chủ bastion máy chủ thơng tin liên hệ trực tiếp bên ngồi 9.3 Dịch vụ xác thực X.509 Dịch vụ xác thực X.509 phần chuẩn dịch vụ thư mục X.500 Ở máy chủ phân tán bảo trì sở liệu thông tin người sử dụng xác định khung cho dịch vụ xác thực Thư mục chứa chứng nhận khố cơng khai, khố cơng khai người sử dụng ký chủ quyền chứng nhận Để thống dịch vụ xác định thủ tục xác thực, sử dụng mã khố cơng khai chữ ký điện tử Tuy thuật tốn khơng chuẩn RSA đề xuất Các chứng nhận X.509 sử dụng rộng rãi 9.3.1 Các chứng nhận X.509 Được phát hành Chủ quyền chứng nhận (Certification Authority – CA) bao gồm:  Các phiên 1,2  Số sổ (duy với CA) xác định chứng nhận  Thuật toán xác định chữ ký  Xuất tên X.500 (CA)  Chu kỳ hiệu lực (từ-đến ngày)  Đối tượng tên X.500 (tên người sở hữu)  Đối tượng thơng tin khố cơng khai (thuật toán, tham số, khoá)  Định danh xuất (phiên 2+)  Định danh đối tượng (phiên 2+)  Các trường mở rộng (phiên 3)  Chữ ký (hoặc hash trường chứng nhận) Ký hiệu CA chứng nhận cho A ký CA IT201_Bai 9_v1.0011103219 175 Bài 9: Một số ứng dụng an ninh hệ thống 9.3.2 Nhận chứng nhận Người sử dụng trao đổi với CA để nhận chứng nhận Chỉ CA sửa chứng nhận Vì khơng thể bị giả mạo nên chứng nhận đặt thư mục công cộng 9.3.3 Sơ đồ phân cấp CA Nếu hai người sử dụng chia sẻ chung CA họ giả thiết biết khố cơng khai CA Ngược lại CA cần tạo nên sơ đồ phân cấp để trao đổi chứng nhận với Sử dụng chứng nhận liên kết thành viên sơ đồ để có chứng nhận CA khác Mỗi CA gửi tiếp chứng nhận cho clients gửi lại chứng nhận cho cha Mỗi client tin tưởng chứng nhận cha Có thể kiểm chứng chứng nhận CA cho người sử dụng CA khác sơ đồ phân cấp Trong sơ đồ sau hai người sử dụng A B khơng có CA chung, người yêu cầu chứng nhận người khác thư mục thiết lập dãy chứng nhận tương ứng  CA trực tiếp A X, A yêu cầu chứng nhận B cung cấp dãy chứng nhận: X W V Y Z  CA trực tiếp B Z, B yêu cầu chứng nhận A cung cấp dãy chứng nhận: Z Y V W X 176 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống 9.3.4 Sự thu hồi chứng nhận Giấy chứng nhận có chu kỳ sử dụng, thu hồi trước thời hạn trường hợp cần thiết như: khoá riêng người sử dụng bị lộ, người dùng không tiếp tục chứng nhận CA đó, Giấy chứng nhận CA bị làm hại Nói chung CA bảo trì danh sách chứng nhận bị thu hồi (CRL – Certificate Revocation List) Người sử dụng kiểm tra lại chứng nhận bị thu hồi 9.3.5 Các thủ tục xác thực X.509 bao gồm ba thủ tục xác thực tùy chọn: xác thực chiều, xác thực hai chiều xác thực ba chiều Mọi thủ tục sử dụng chữ ký khố cơng khai Xác thực chiều Một chiều A->B sử dụng để thiết lập:  Danh tính A mẩu tin từ A  Mẩu tin gửi cho B  Tính tồn vẹn gốc gác mẩu tin Mẩu tin bao gồm nhãn thời gian, ký hiệu đặc trưng mẩu tin (nonce), danh tính B ký A Có thể bao gồm số thông tin bổ sung cho B khoá phiên Xác thực hai chiều Hai mẩu tin A->B B->A thiết lập, mẩu tin từ A đến B cịn có:  Danh tính B trả lời từ B  Trả lời dành cho A  Tính tồn vẹn gốc gác trả lời IT201_Bai 9_v1.0011103219 177 Bài 9: Một số ứng dụng an ninh hệ thống Trả lời bao gồm ký hiệu đặc trưng mẩu tin (nonce) từ A, nhãn thời gian ký hiệu đặc trưng trả lời từ B Có thể bao gồm số thông tin bổ sung cho A A{tA, rA,B,sgnData, EKUb [Kab]} A B (a) One-way authentication A{tA, rA,B,sgnData, EKUb [Kab]} A B{tB,rB,A,rA,sgnData, EKUa [Kba]} B (b) Two-way authentication A{tA, rA,B,sgnData, EKUb [Kab]} A B{tB,rB,A,rA,sgnData, EKUa [Kba]} B A[rB] (c) Three-way authentication Xác thực ba chiều Ba mẩu tin A->B, B->A A->B thiết lập mà khơng có đồng hồ đồng Ngồi hai chiều cịn có trả lời lại từ A đến B chứa nonce trả lời từ B Thiết kế để nhãn thời gian khơng cần kiểm tra, bên kiểm tra nonce phản hồi để chống công lặp lại X.509 phiên Trong phiên bổ sung số thông tin cần thiết giấy chứng nhận như: Email/URL, chi tiết đợt phát hành, ràng buộc sử dụng Tốt hết đặt tên tường minh cho cột xác định phương pháp mở rộng tổng quát Các mở rộng bao gồm:  Danh tính mở rộng  Chỉ dẫn tính quan trọng  Giá trị mở rộng 178 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống  Các mở rộng xác thực: o o o o o o IT201_Bai 9_v1.0011103219 Khoá thông tin đợt phát hành Bao gồm thông tin đối tượng, khoá người phát hành, thị kiểu phát hành, chứng nhận Đối tượng chứng nhận thuộc tính người phát hành Hỗ trợ có tên phụ, định dạng phụ cho đối tượng người phát hành Chứng nhận ràng buộc phát hành Cho phép sử dụng ràng buộc chứng nhận CA khác 179 Bài 9: Một số ứng dụng an ninh hệ thống TÓM LƯỢC CUỐI BÀI Chúng ta xem xét qua học vấn đề sau:  Khái niệm quản trị an ninh mạng  Giao thức quản trị an ninh mạng SNMP  Lợi ích kiểu tường lửa  Định dạng giấy chứng nhận X500  Các thủ tục xác thực 180 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống CÂU HỎI TỰ LUẬN Mơ tả thành phần mơ hình quản trị mạng? Nêu vai trò Trạm quản trị mạng? Giải thích nhiệm vụ Tác tử quản trị mạng? Giải thích sơ đồ kiến trúc quản trị mạng? Nêu vai trò tác tử proxy mơ hình quản trị mạng? Mơ tả cấu hình mơ hình quản trị mạng phân tán? Nêu tiện ích khu vực giao thức quản trị mạng SNMP? Mô tả thành phần thực thể SNMP? Các chức chế SNMP gì? Mơ tả bước ứng dụng SNMPv3? Nêu mơ hình xử lý thơng điệp SNMPv3? Mơ tả mơ hình VACM? Việc kiểm sốt quyền truy cập phụ thuộc vào yếu tố nào? 10 Bức tường lửa gì? Nêu hạn chế tường lửa 11 Mơ tả tường lửa lọc gói? Điểm yếu biện pháp phịng chống? 12 Mơ tả hoạt động tường lửa cổng giao tiếp mức ứng dụng cổng giao tiếp mạch vòng? 13 Nêu cấu hình hệ thống máy chủ tường lửa Bastion? 14 Nêu định dạng giấy chứng nhận X500? 15 Giải thích sơ đồ phân cấp chủ quyền chứng nhận CA? 16 Mô tả thủ tục xác thực chiều, hai chiều ba chiều? BÀI TẬP TRẮC NGHIỆM Đâu khơng phải thành phần mơ hình quản trị mạng? (A) Trạm quản trị, Tác tử quản trị; (B) Cơ sở thông tin quản trị (MIB); (C) Giao thức quản trị mạng; (D) Giao thức tầng mạng Trạm quản trị không bao gồm mục nào? (A) Tác tử quản trị; (B) Giao diện để người quản trị theo dõi kiểm sốt mạng; (C) Có khả chuyển yêu cầu mạng thành việc theo dõi kiểm soát thực tế thành phần xa mạng; (D) Cơ sở liệu thông tin lấy từ MIB thực thể quản trị mạng tập ứng dụng quản trị để phân tích liệu, khắc phục lỗi,… Mục nhiệm vụ tác tử quản trị? (A) Theo dõi thông tin đối tượng truyền trạm; (B) Thay đổi giá trị cho biến đối tượng xa; (C) Giao diện cho người quản trị mạng; (D) Truyền hành động từ trạm đến thiết bị IT201_Bai 9_v1.0011103219 181 Bài 9: Một số ứng dụng an ninh hệ thống Đâu chức giao thức quản trị mạng SNMP? (A) Get: cho phép trạm quản trị nhận giá trị đối tượng tác tử; (B) Send: gửi thông điệp từ trạm đến thiết bị; (C) Set: cho phép trạm quản trị đặt giá trị đối tượng tác tử; (D) Notify: cho phép tác tử nhắc nhở trạm quản trị kiện quan trọng Đâu chức Tác tử quản trị? (A) Dịch vụ mã hóa: mã hóa thơng tin lưu MIB; (B) Dịch vụ xác thực: Tác tử mong muốn hạn chế truy cập đến MIB cho số quản trị có chủ quyền; (C) Chính sách truy cập: Tác tử muốn cung cấp số quyền khác cho số quản trị khác nhau; (D) Dịch vụ Proxy: Tác tử muốn hoạt động proxy cho số tác tử khác Điều kéo theo việc cài đặt dịch vụ xác thực hoặc/và sách truy cập cho tác tử khác hệ thống proxy Điều khẳng định sau khơng việc kiểm sốt truy cập đến MIB địa phương? (A) SNMP MIB view: tập đối tượng MIB, chúng khác cho cộng đồng khác nhau; (B) SNMP MIB view: tập đối tượng MIB, chúng cho cộng đồng; (C) SNMP access mode: có hai lựa chọn READ-WRITE READ-ONLY; (D) SNMP access mode: có hai lựa chọn READ-ONLY READ-WRITE Đâu ứng dụng thực thể SNMP trạm quản trị? (A) Command Generator Applications theo dõi thao tác liệu quản trị tác tử xa; (B) Notification Originator Applications khởi tạo thông điệp không đồng bộ; (C) Proxy forwarder applications: Applications chuyển tiếp proxy; (D) Notification Receiver Applications xử lý thông điệp không đồng gửi đến Đâu chức chế SNMP? (A) Nó nhận đơn vị liệu giao thức PDU từ ứng dụng SNMP, chèn mã xác thực mã hóa, sau đóng gói PDU thành thơng điệp để truyền; (B) Nó nhận thơng điệp SNMP gửi đến từ tầng vận chuyển, xác thực giải mã; (C) Mở gói PDU từ thơng điệp truyền cho ứng dụng SNMP tương ứng; (D) Tương tác với sở thông tin quản trị MIB Để địa phương hóa khóa người ta khơng cần thực mục nào? (A) Lấy mã hóa mật người sử dụng; (B) Lấy băm mật người sử dụng mở rộng; (C) Từ băm mật tạo khóa người sử dụng; (D) Lấy băm khóa người sử dụng định danh máy xa tạo khóa địa phương hóa 10 Mục khơng phải đặc tính quan trọng mơ hình kiểm sốt quyền truy cập dựa tầm nhìn VACM? (A) VACM xác định quyền truy cập đến đối tượng quản trị MIB địa phương; (B) VACM không cần dựa vào MIB; 182 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống (C) VACM sử dụng MIB để xác định sách truy cập cho tác tử đó; (D) VACM sử dụng MIB để cấu hình từ xa 11 Quyền truy cập phụ thuộc vào yếu tố nào? (A) Sử dụng VACM tác tử cho phép người sử dụng có quyền khác nhau; (B) Thông thường, tác tử yêu cầu xác thực quyền viết Kiểu truy cập xử lý: đọc, viết nhắc nhở; (C) Tác tử cấu hình để cung cấp quyền truy cập khác tùy thuộc vào mơ hình an ninh; (D) Mơ hình an ninh người sử dụng phân hệ an ninh 12 Khẳng định không tường lửa? (A) Là điểm cổ chai để kiểm sốt theo dõi thơng tin vào mạng cục bộ; (B) Xem xét nội dung gói tin để kiểm sốt thơng tin đến; (C) Kiểm tra kiểm sốt truy cập, cài đặt cảnh báo hành vi bất thường; (D) Cung cấp bảng chuyển đổi địa mạng NAT sử dụng để theo dõi giám sát 13 Đâu nhược điểm tường lửa? (A) Không bảo vệ cơng vịng qua nó; (B) Không bảo vệ chống mối đe dọa từ bên trong; (C) Dễ dàng thiết lập được; (D) Không thể bảo vệ chống việc truyền chương trình file nhiễm virus 14 Điều khẳng định không tường lửa lọc gói? (A) Dựa vào thơng tin: địa IP gốc, đích, địa gốc đích tầng vận chuyển, cổng; (B) Tạo thư mục để gắn kết gói tin phiên kết nối; (C) Nó kiểm tra gói IP cho phép hay từ chối tùy theo quy tắc xác định; (D) Suy có hạn chế truy cập đến dịch vụ cổng 15 Đâu nhược điểm tường lửa lọc gói? (A) Tường lửa lọc gói khơng kiểm tra liệu lớp trên; (B) Có hai quy tắc mặc định bỏ qua mặc định chuyển tiếp; (C) Đa số lọc gói khơng hỗ trợ sơ đồ xác thực người dùng nâng cao; (D) Dựa biến để định quyền truy cập 16 Mục công Bức tường lửa lọc gói? (A) Địa IP lừa đảo: giả địa nguồn làm cho tin tưởng; (B) Tấn công hướng truyền gốc: kẻ công đặt hướng truyền khác với mặc định, hy vọng vòng qua kiểm sốt an ninh; (C) Tấn cơng đoạn tin nhỏ Chia thông tin tiêu đề thành số đoạn nhỏ để lách số quy tắc dựa thông tin tiêu đề; (D) Phân cổng động cho dịch vụ 17 Điều không proxy cổng giao tiếp mức ứng dụng? (A) Người sử dụng yêu cầu dịch vụ từ proxy; (B) Proxy kiểm tra yêu cầu có hợp lệ khơng; (C) Cổng giao tiếp mức ứng dụng khơng an tồn lọc gói; (D) Sau xử lý yêu cầu trả lời cho người sử dụng IT201_Bai 9_v1.0011103219 183 Bài 9: Một số ứng dụng an ninh hệ thống 18 Điều không hai người trao đổi Giấy chứng nhận sơ đồ xác thực phân cấp? (A) Nếu hai người sử dụng chia sẻ chung CA họ giả thiết biết khố cơng khai CA đó; (B) Ngược lại CA cần tạo nên sơ đồ phân cấp để trao đổi chứng nhận với Sử dụng chứng nhận liên kết thành viên sơ đồ để có chứng nhận CA khác; (C) Mỗi CA gửi tiếp chứng nhận cho clients gửi lại chứng nhận cho cha nó; (D) Khó kiểm chứng hai người sử dụng không CA chứng nhận 19 Mục đích xác thực chiều khơng gồm mục nào? (A) Danh tính A mẩu tin từ A; (B) Danh tính người nhận B; (C) Mẩu tin gửi cho B; (D) Tính tồn vẹn gốc gác mẩu tin 20 Mục đích bổ sung xác thực hai chiều khơng bao gồm mục nào? (A) Danh tính B trả lời từ B; (B) Trả lời dành cho A; (C) Hai người nhận, gửi khơng đồng bộ; (D) Tính tồn vẹn gốc gác trả lời 21 Mục đích bổ sung xác thực ba chiều không bao gồm mục nào? (A) Không cần đồng hồ đồng bên gửi bên nhận; (B) Trả lời phúc đáp từ A có chứa nonce câu trả lời B; (C) Không cần kiểm tra lại nhãn thời gian; (D) Hai người sử dụng cần gửi, nhận cách đồng 184 IT201_Bai 9_v1.0011103219 ... dẫn tính quan trọng  Giá trị mở rộng 178 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống  Các mở rộng xác thực: o o o o o o IT201_Bai 9_v1.0011103219 Khoá thông tin đợt phát... không kết nối nên SNMP không kết nối Mỗi trao đổi giao dịch riêng rẽ trạm tác tử quản trị IT201_Bai 9_v1.0011103219 161 Bài 9: Một số ứng dụng an ninh hệ thống Proxies Trong SNMP tác tử trạm... chủ đóng vai trị trạm quản trị mạng có hai trạm khác đóng vai trị dự phịng Phần cịn lại 162 IT201_Bai 9_v1.0011103219 Bài 9: Một số ứng dụng an ninh hệ thống thiết bị mạng chứa phần mềm tác tử